第10章 网站安全相关管理 网站建设与相关管理课件.pptxVIP

第10章 网站安全管理;本章概述;1 网站的安全漏洞 2 网站攻击类型 3 IIS安全机制 ; 一个网站，安全问题可能从多方面而来。任何一方面都不可能保证绝对的安全。一个安全的网站，必须要各方面配合才能打造出来。 首当其冲的是服务器的安全，服务器本身如果被入侵了，网站系统再安全也没有任何作用。 其次是FTP或者远程管理等的账号安全，如果人家破解了用户的FTP或者远程管理权限，那也就等于窗户开给人家爬，那家里的东西自然是随便拿了。 上述涉及系统管理的问题，这里重点讲述第三方面：脚本安全。脚本指在网站上的ASP、JSP、CGI等服务器端运行的脚本代码，如动易系统、动网论坛都属此类。最主要最集中的脚本代码的安全问题出在两个方面：SQL注入和FSO权限。 ; 互动网站大多有数据库，ASP代码通过SQL语句对数据库进行管理，而SQL语句中的一些变量是通过用户提交的表单获取???，如果对表单提交的数据没有做好过滤，攻击者就可以通过构造一些特殊的URL提交给自己的系统，或者在表单中提交特别构造的字符串，造成SQL语句没有按预期的目的执行。 随着信息技术的发展，网络应用越来越广泛，很多企业单位都依靠网站来运营，正因为业务的不断提升和应用，致使网站的安全性显得越来越重要。另外，网络上的黑客也越来越多，而且在利益驱使下，很多黑客对网站发起攻击，并以此牟利。作为网站的管理人员，应该在黑客入侵之前发现网站的安全问题，使网站能更好地发挥作用。;3．信息收集型攻击 （1）扫描技术 （2）体系结构探测 （3）利用信息服务 ;4．假消息攻击 （1）DNS高速缓存污染 （2）伪造电子邮件 ;1．以Windows NT的安全机制为基础 （1）应用NTFS文件系统。 （2）共享权限的修改。 （3）为系统管理员账号更名。 （4）取消TCP/IP上的NetBIOS绑定。;2．设置IIS的安全机制 （1）安装时应注意的安全问题。 （2）用户的安全性。 （3）IIS 3种形式认证的安全性。 （4）访问权限控制。 （5）IP地址的控制。 （6）端口安全性的实现。 （7）IP转发的安全性。 （8）SSL安全机制。;1 IIS身份验证 2 配置匿名访问 3 配置基本验证 4 集成Windows验证 ;1 IIS身份验证 配置IIS中的身份验证的步骤如下： ;1 IIS身份验证 配置IIS中的身份验证的步骤如下： ; 配置匿名访问方式不验证访问用户的身份，客户端不需要提供任何身份验证的凭据，服务器端把这样的访问作为匿名的访问，并把这样的访问用户都映射到一个服务器端的账户，一般为IUSER_MACHINE这个用户，可以修改映射到的用户，修改方式如图10.4所示。 ; 配置基本验证方式完全是把用户名和密码用明文（经过base64编码，但是base64编码不是加密的，经过转换就能转换成原始的明文）传送到服务器端验证。服务器直接验证服务器本地是否有用户跟客户端提供的用户名和密码相匹配，如果有则通过验证。 ;1．NTLM验证 NTLM验证方式需要把用户的用户名和密码传送到服务器端，服务器端验证用户名和密码是否和服务器的此用户的密码一致。用户名用明码传送，但是密码经过处理后派生出一个8字节的key加密质询码后传送。 ;2．Kerberos验证 Kerberos验证方式只把客户端访问IIS的验证票发送到IIS服务器，IIS收到这个票据就能确定客户端的身份，不需要传送用户的密码。需要Kerberos验证的用户一定是域用户。 每一个登录用户在登录被验证后都会被域中的验证服务器生成一个票据授权票（TGT）作为这个用户访问其他服务所要验证票的凭证（这是为了实现一次登录就能访问域中所有需要验证的资源的所谓单点登录SSO功能），而访问IIS服务器的验证票是通过此用户的票据授权票（TGT）向IIS获取的。之后此客户访问此IIS都使用这个验证票。同样访问其他需要验证的服务也是凭这个TGT获取该服务的验证票。;1 访问控制工作原理 2 IP地址和域名限制 3 配置服务器权限 ; （1）用户开始登录，输入用户名，验证服务器收到用户名，在用户数据库中查找这个用户，结果发现了这个用户。 （2）验证服务器生成一个验证服务器跟这个登录用户之间共享的一个会话口令（Session key），这个口令只有验证服务器与这个登录用户之间使用，用作相互验证对方。同时验证服务器给这个登录用户生成一张票据授权票（ticket-granting ticket），工作站以后就可以凭这个票据授权票来向验证服务器请求其他票据，而不用再次验证自己的身份了。验证服务器把｛Session key+ticket-granting ticket｝用登录用户的口令加密后发回到工作站。 ; （3）工作站用自己